La computación en la nube en Europa y en España: una oportunidad de negocio

Revista Transformación Digital | martes 18 - marzo - 2014

María del Valle Palma VillalónDña. María del Valle Palma Villalón
Miembro del Subcomité (SC)1 “Gestión de Documentos y aplicaciones” del Comité 50 de Documentación y del Subcomité (SC)38 “Servicios y plataformas para aplicaciones distribuidas” del Comité 71 Tecnología de la Información de AENOR.

 

 

 

Actualizado en abril de 2016

Contenido:

1. Introducción

2. Los conceptos básicos de la computación en la
nube

2.1 El modelo de computación de la nube

2.2 La contratación en la nube

3. Las repercusiones del espionaje masivo de Estados Unidos
en los servicios de computación en la nube

4. Las iniciativas de la Comisión Europea

5. El negocio de la computación en la nube en Europa

6. La computación en la nube en España

7. Conclusiones

8. Bibliografía

 

1. Introducción

La legislación europea en relación a la protección de datos personales es bastante más restrictiva que la estadounidense, las empresas y administraciones públicas están prefiriendo contratar servicios de computación en la nube que almacenen sus datos e información en servidores situados en territorio europeo. Esta tendencia supone gran oportunidad para las compañías europeas que ofrezcan estos servicios.

En un sondeo efectuado en julio de 2013 por la Cloud Security Alliance sobre un total 207 empresas no americanas, el 56% era reacia a contratar con proveedores de cloud computing de EE UU y un 10% incluso había decidido cancelar sus proyectos (1).

En relación a España, estamos muy bien posicionados ya que nos encontramos entre los cuatro países del mundo más rigurosos en la protección de datos personales según la consultora BackgroundChecks.org (1). Sin embargo, gran parte del negocio de la cloud pública o de cloud privada virtual (cloud gestionada) puede estar en riesgo, ya que es fácilmente contratable a empresas cuyos centros de procesos de datos no están en España, según comentó Mercedes Serrano, Iberia Cloud Director de Hewlett-Packard Española (2). Por ello, es importante defender nuestra industria en la nube dando a conocer a los potenciales clientes las garantías con respecto a la protección de su privacidad, propiedad intelectual e industrial, que ofrecen los proveedores de servicios en la nube que operan en territorio español, amparados por nuestra legislación.

En este artículo se tratan algunos aspectos básicos relacionados con la nube, como la contratación, la influencia en el negocio de la legislación sobre protección datos europea y española, las previsiones futuras, las barreras para su adopción, y la cuantía de las ayudas tanto de la Comisión Europea como del gobierno del estado español para promover su implantación. Se ha procurado cuando ha sido posible incorporar las fuentes de dónde se ha extraído la información y los datos para facilitar al lector profundizar en algún aspecto específico.

2. Los conceptos básicos de la computación en la nube

2.1 El modelo de computación de la nube

La computación en la nube, según las recomendaciones del NIST , National Institute of Standards and Technology (3), es el modelo que facilita una red ubicua, conveniente y bajo demanda para compartir un conjunto de recursos informáticos configurables (por ejemplo, redes, servidores,  almacenamiento, aplicaciones y servicios) que se pueden asignar rápidamente y desplegar con un esfuerzo mínimo de gestión o interacción del proveedor del servicio. Este modelo de nube se componede cinco características esenciales, tres modelos de servicio y cuatro modelos de implementación.

  • Características esenciales: autoservicio bajo demanda, acceso amplio a la red, compartición de recursos, elasticidad rápida y servicio medido
  • Los modelos de servicio: software como servicio (SaaS), plataforma como servicio (PaaS), infraestructura como servicio (IaaS).
  • Los modelos de implementación: nube privada, nube comunitaria, nube pública y nube híbrida.

Aenor publicó una norma UNE con una recopilación amplia del vocabulario en la nube, que se titula UNE 71380 Tecnología de la información. Computación en la nube. Vocabulario y definiciones, ha sido desarrollada por el subcomité SC38 Servicios y plataformas para aplicaciones distribuidas (4)

Ejemplos de servicios en la nube:

  • Despacho de abogados: en el informe de la Agencia Española de Protección de Datos sobre la Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal (5) se describen los posibles servicios en la nube que pueden utilizar los despachos de abogados, que pueden abarcar desde el correo electrónico hasta el almacenamiento de documentos, pasando por aplicaciones de gestión del despacho, de contabilidad, de bases de datos de jurisprudencia o legislación, o de compartición de documentación e información con clientes o con otros despachos. Y todo ello sin necesidad de disponer de servidores o de software en el propio despacho, ahorrando, por tanto, las inversiones en equipamiento y software, así como los gastos de operacióny mantenimiento de los mismos.
  • Agencia de viajes: Los servicios cloud ofrecen a las empresas adaptarse rápidamente a las picos puntuales de la gestión de su negocio, por ejemplo, los de una agencia de viajes que necesita aumentar su capacidad de almacenamiento y el número de cuentas activas durante las temporadas altas en las que pueden entrar miles de usuarios al día a consultar sus servicios, y sin embargo el resto del año se reducen al mínimo. Las aplicaciones cloud facilitan esta escalabilidad.
  • Sistemas de salud: los médicos, distribuidos geográficamente
    en sus centros, necesitan consultar las historias clínicas de los pacientes que se acompañan de imágenes muy pesadas, como las radiografías y otro tipo de pruebas, que requieren una ocupación intensiva de almacenamiento y una gran velocidad en la transmisión. Si van a visitar a un paciente desearían poder consultar esta información desde sus móviles o tabletas. Si, además, necesitan controlar a distancia la evolución de un paciente que tiene conectados dispositivos con sensores que capturan datos sobre su salud, como la tensión o las pulsaciones, estos datos deberían estar integrados en su correspondiente historial. Toda esta información debe estar protegida con un nivel alto de seguridad según la legislación sobre protección de datos: debe estar cifrada, llevarse un registro de los accesos de los usuarios, y realizarse copias de seguridad periódicas en lugares externos a dónde se encuentran los servidores que los tratan. Las soluciones de computación en la nube proporcionan soluciones seguras a los sistemas de salud cumpliendo con la LOPD (si se les exige a los proveedores), facilitando las conexiones en la movilidad, ahorrando costes operacionales y facilitando la información que necesitan los médicos de una forma rápida y en el momento oportuno para la toma de decisiones en sus diagnósticos.
  • Empresas de venta al por menor: Estas empresas necesitan conocer muy bien los gustos y aficiones de sus clientes para adaptar sus productos al mercado, por esta razón, necesitan consultar la información que éstos publican en las redes sociales para conocer las tendencias.
    El cloud computing unido al Big Data facilita la recolección y el análisis de todo este enorme volumen de información (6).

Las grandes empresas tecnológicas de Estados Unidos ofrecen servicios en la nube: Amazon Web Services (AWS),  Windows AzureGoogle App Engine, Google Cloud Platform. Aunque existen reticencias en estos momentos a utilizar sus servicios, sobre todo en las administraciones públicas. En concreto, la autoridad de protección de datos de Suecia ha prohibido el uso de Google App Engine porque no proporciona suficiente información sobre cómo maneja los datos, cuánto tiempo los mantiene después de un contrato, quién tiene acceso a ellos, qué otras empresas están involucradas en el manejo de los datos (7). Actualmente están reaccionando, un ejemplo es la plataforma cloud de Google, Google Cloud Platform, que ofrece elegir entre 3 zonas en Europa ubicadas en Bélgica, con una página dedicada a la conformidad con la legislación europea Google Cloud Platform Security e informan que durante el mes de abril de 2016 la AGPD aprobará las cláusulas de la LOPD presentadas.

 

2.2 La contratación en la nube

En el informe de la Comisión Europea Cloud Standards Coordination de noviembre de 2013 (8) se explican las condiciones del contrato entre los proveedores y los clientes de los servicios en la nube.

Los contratos dependen de la naturaleza del servicio, pueden ser fijos, es decir, el proveedor ofrece el mismo contrato a todos sus clientes, o el contrato puede ser fruto de la negociación entre el cliente y el proveedor. Asociado con el contrato se suele incorporar una Acceptable Use Policy (AUP) y un Service Level Agreement (SLA) – Acuerdo de Nivel de Servicio..

Los SLA son acuerdos, aceptados por el cliente y el proveedor, que definen un conjunto de objetivos de nivel de servicio y relacionados con los indicadores clave de rendimiento (KPIKey Performance Indicators), habitualmente se refieren a aspectos del servicio relacionados con la disponibilidad, rendimiento, seguridad, cumplimiento de las normas y privacidad. Los objetivos de nivel de servicio definen umbrales medibles de atributos de servicio, que el proveedor del servicio en la nube pretende cumplir con respecto al servicio cloud que se va a proporcionar.

Actualmente el objetivo de nivel de servicio común por los proveedores de servicio cloud comerciales es la disponibilidad, que se describe habitualmente por un porcentaje, por ejemplo el 99,99 %.

Es importante que el SLA contemple las tres fases del ciclo de vida del servicio cloud:

  • Anuncio de una oferta de servicio cloud y adquisición del servicio cloud: en esta primera fase el proveedor de la nube anuncia sus servicios a los clientes potenciales, y los clientes pueden evaluar si el servicio específico que ofrecen cumple sus requisitos de negocios o técnicos, y compararlo con otras ofertas del mercado
  • El funcionamiento del servicio en la nube: en esta segunda fase se cubre el uso del servicio cloud por el cliente, se centra en determinar si el servicio cumple cada uno de los objetivos de nivel de servicio y en tomar las acciones correctivas para su funcionamiento si no se cumplen. La fase incluye el seguimiento del estado de los KPI definidos en el SLA y el estado del SLA en su conjunto.
  • Finalización del servicio en la nube: en esta tercera fase finaliza el servicio en la nube, tanto el proveedor como el cliente pueden evaluar si el SLA se ha cumplido o se ha violado y se discuten las discrepancias en la percepción del estado del SLA. Se devuelven
    los datos al cliente, y se completa esta fase borrando los datos del cliente de los sistemas del proveedor, esto incluye, pero no limita, su reversibilidad.

Actualmente en el subcomité SC 38 (Distributed application platforms and services (DAPS)) de ISO se están desarrollando normas en relación al Cloud Computing entre ellos la primera es la referente al SLA (9):

ISO/IEC DIS 19086-1

 

Information technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and concepts. 

ISO/IEC NP 19086-2

Information technology — Cloud computing — Service level agreement (SLA) framework — Part 2: Metrics. 

 

ISO/IEC CD 19086-3

Information technology — Cloud computing — Service level agreement (SLA) framework — Part 3: Core conformance requirements. 

 

 

ISO/IEC NP 19086-4

 

Information technology — Cloud computing — Service level agreement (SLA) framework and Technology — Part 4: Security and privacy.  

En la GUÍA para clientes que contraten servicios de Cloud Computing de la Agencia Española de Protección de Datos (54) se incluyen unas pautas que pueden servir de orientación al contratar servicios en la nube, se incide especialmente en la subcontratación, localización de los servicios y transparencia, asimismo se ofrecen unas recomendaciones que se deben tomar en consideración:

“…  el mismo contratista puede desconocer la localización precisa de sus datos y no disponer del control directo de acceso a los mismos, de su borrado y de su portabilidad, ya que la información no está físicamente en su poder aunque, si esa información contiene datos de carácter personal, sí está bajo su responsabilidad desde el punto de vista de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).

Localización del proceso y de los datos
El proveedor de cloud computing, a la hora de implementar los servicios al usuario final, puede ser el prestador único de los mismos cuando todos los recursos para proporcionarlos pertenecen al propio proveedor. Es decir, dispone de toda la infraestructura necesaria, que administra directamente, y no subcontrata a terceros en función de la distinta carga de trabajo que tenga.

Subcontratación
Por el contrario, puede no tratarse de un prestador final cuando el servicio que ofrece directamente al usuario se construye sobre la subcontratación a terceros de elementos necesarios para implementarlos (hardware, almacenamiento, comunicaciones, etc.), como es el caso de los partners. A su vez, los subcontratistas pueden subcontratar de nuevo parte del servicio que proporcionan al prestador final a terceras y sucesivas compañías. Este es un modelo de cadena de subcontrataciones que en teoría podría no tener fin, y cuyo objeto es redimensionar continuamente los recursos de la
nube  de forma dinámica y en función de las condiciones del mercado.

Localización
A la hora de decantarse por la utilización de un servicio de cloud computing, hay otros condicionantes que hay que tener en cuenta desde el punto de vista de los derechos de los ciudadanos y del ejercicio de las responsabilidades del cliente de dichos servicios.

Es importante identificar qué proveedores de cloud  están localizados dentro del Espacio Económico Europeo o en países que de una u otra forma garanticen un nivel adecuado de protección de los datos de carácter personal. Esta localización afecta no sólo a la sede del proveedor de cloud, sino también a la localización de cada uno de los recursos físicos que emplea para implementar el servicio, de forma directa o subcontratada. Y hay que enfatizar que hay que tener en cuenta la
localización de todos los recursos pues, por la misma naturaleza del servicio de cloud, los datos pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos a dichos datos han de garantizarse siempre.

Transparencia

En relación al control de la localización de los datos de un usuario, un servicio de cloud puede ser auditable o transparente (en el sentido de la palabra inglesa accountable) cuando el contratista puede reclamar información precisa de dónde, cuándo y quién ha almacenado o procesado sus datos (dentro de los recursos propios del proveedor o de la cadena de subcontrataciones), y en qué condiciones de seguridad se ha producido. En otro caso, nos encontraremos con un servicio
opaco al usuario, en el que éste no tiene opción alguna de obtener información precisa de qué ha ocurrido con sus datos ni herramientas para auditar el servicio que se le está proporcionando y en el que su propia información escapa a su control.

Garantías contractuales
La contratación de servicios de cloud computing se realizará a través de un contrato de prestación de servicios. Resulta imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos.

Atendiendo a la relación contractual establecida entre el cliente y el proveedor de la nube, también este contrato se puede clasificar como negociado o de adhesión. Podemos decir que un contrato entre el cliente y el proveedor es negociado si el primero tiene, o se le ofrece, la capacidad para fijar las condiciones de contratación en función del tipo de datos que se van a procesar, las medidas de seguridad exigibles, el esquema de subcontratación, la localización de los datos, la
portabilidad de los mismos y cualquier otro aspecto de adecuación a la regulación española y a las restricciones que esta regulación implica.

En la mayoría de los casos, sin embargo, lo que se oferta son contratos de adhesión, constituidos por cláusulas contractuales cerradas, en las que el proveedor de cloud fija las condiciones con un contrato tipo igual para todos sus clientes, sin que el usuario tenga ninguna opción para negociar sus términos. Este último caso es el más común, sobre todo cuando se encuentra el cliente en una situación de desequilibrio (p.ej.: una pyme frente a un gran proveedor), aunque hay que tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la LOPD.

Una estrategia para el cliente de servicios de computación en la nube.

Frente a los riesgos descritos, el responsable del tratamiento –p.ej. empresas o administraciones que pretenda incorporar todo o parte del tratamiento de datos a servicios en la nube debería considerar una estrategia de actuación que bien pudiera ser la siguiente:

Evaluar los tratamientos y el nivel de protección de datos

El cliente ha de estudiar con detalle qué parte o partes de los tratamientos que realiza son susceptibles de ser transferidos a servicios de computación en nube considerando no sólo los beneficios, sino igualmente los potenciales riesgos que se van a asumir.

La estrategia de actuación que se sugiere conlleva, de un lado, el estudio sobre los recursos del responsable que son susceptibles de ser o no transferidos a la nube en función del nivel de riesgo que presenten, lo que pasa por un conocimiento detallado del responsable sobre los datos personales tratados. Como se ha sugerido, un elemento fundamental será conocer los tratamientos sobre datos que cuenten con un especial nivel de protección otorgado por la legislación (p. ej. los datos de salud). La transferencia de datos a servicios de computación no excluye en principio a ningún tipo de dato, siempre que haya un balance positivo entre los riesgos asumidos y las salvaguardas, en forma de medidas organizativas y técnicas, proporcionadas por el proveedor.

Verificar las condiciones en que se presta el servicio
Debe verificarse de forma previa a la contratación las condiciones en la que se presta el servicio con el fin de determinar si ofrecen un nivel adecuado de cumplimiento.

Las condiciones ofrecidas por los proveedores se deben contrastar con una lista de control que incluya, entre otros, elementos relativos a la información proporcionada, ubicación del tratamiento, existencia de subencargados, políticas de seguridad, derechos del usuario y obligaciones legales del prestador del servicio.

Es aconsejable comparar las características ofrecidas por varios proveedores, no sólo en términos económicos sino también en relación con los contenidos de la prestación y las garantías de calidad y cumplimiento legal que cada proveedor proporciona.

En cualquier caso, debe prestarse especial atención a no contratar servicios prestados en nube que no reúnan los requisitos legalmente establecidos.

Tener en consideración los procedimientos de salida en caso de cambio de proveedor facilitará que los procesos de retorno de datos se lleven a cabo sin merma de la integridad de los datos y con control pleno del responsable sobre su destino ulterior. En este ámbito son de especial importancia los sistemas que el proveedor proporcione para asegurar, en todo momento, la portabilidad de esos datos.

Qué debo conocer para la contratación de servicios de Cloud Computing

La presente guía pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios de cloud computing ofreciendo una información práctica dirigida a pymes, microempresas y profesionales. Asimismo se informa sobre las características específicas de la contratación en las Administraciones Públicas. Para ello, la guía se articula sobre un cuetionario de preguntas y respuestas que trata los aspectos esenciales para la protección de datos personales en estos servicios.

1.- ¿Qué debo analizar y tener en cuenta antes de contratar servicios de ‘cloud computing’?

  • Debe evaluar la tipología de datos que trata atendiendo a su mayor o menor sensibilidad (por ejemplo los datos meramente identificativos no son datos sensibles y los relacionados con la salud tienen la máxima sensibilidad).
  • Debe informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas modalidades de servicios (vea la introducción de esta guía).
  • Con esta información debe decidir para qué datos personales contratará servicios de cloud computing  y cuáles prefiere mantener en sus propios sistemas de información. Esta decisión es importante porque delimitará las finalidades para las que el proveedor de cloud puede tratar los datos. En consecuencia, debe garantizarse expresamente que no utilizará los datos para otra finalidad que no tenga relación con los servicios contratados.

2.- Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como cliente de un servicio de ‘
cloud’?

  • El cliente que contrata servicios decloud  computing sigue siendo responsable del tratamiento de los datos personales. Aunque los contrate con una gran compañía multinacional la responsabilidad no se desplaza al prestador del servicio, ni siquiera incorporando una cláusula en el contrato con esta finalidad.
  • El que ofrece la contratación decloud computing es un prestador de servicios que en la ley de protección de datos tiene la calificación de ‘encargado del tratamiento’.

3.- ¿Cuál es la legislación aplicable? El modelo de cloud  computing hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta. Pero, en todo caso:

  • El cliente que contrata servicios de cloud  computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007).
  • La aplicación de la legislación española no puede modificarse contractualmente.
  • Aunque le informen de que los datos personales están disociados, no cambia la ley aplicable ni la responsabilidad del cliente y del prestador del servicio. (Si quiere más información sobre la disociación de datos haga clic aquí).

4.- ¿Cuáles son mis obligaciones como cliente?

  • Debe solicitar y obtener información sobre si intervienen o no terceras empresas (subcontratistas) en la prestación de servicios de cloud computing. Lo habitual es que intervengan terceras empresas. De ser así:
  • Tiene que dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán (p. ej. en el alojamiento de datos). Para ello, el prestador del servicio de cloud computing tiene que informarle sobre la tipología de servicios que pueden subcontratarse con terceros.
  • Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo acceder a una página web o a través de otras opciones que le facilite el prestador del servicio).
  • El proveedor de cloud debe asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.
  • El contrato que firma ha de incorporar cláusulas contractuales para la protección de los datos personales según se detalla en las siguientes preguntas.

5.- ¿Dónde pueden estar ubicados los datos personales? ¿Es relevante su ubicación?

  • La localización de los datos tiene importancia porque las garantías exigibles para su protección son distintas según los países en que se encuentren.
  • Los países del Espacio Económico Europeo ofrecen garantías suficientes y no se considera legalmente que exista una transferencia internacional de datos. El Espacio Económico Europeo está constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega.
  • Si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una transferencia internacional de datos, en cuyo caso, y dependiendo del país en que se encuentren, deberán proporcionarse garantías jurídicas adecuadas.

6.- ¿Qué    garantías  se  consideran adecuadas para  las transferencias internacionales de datos?

  • Se considera una garantía adecuada que el país de destino ofrezca un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos o por Decisión de la Comisión Europea (si quiere conocer la lista de países con nivel adecuado de protección haga clic aquí). En ese caso será suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
  • Las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro (si quiere conocer más detalles sobre Puerto Seguro haga clic aquí). Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la Agencia Española de Protección de Datos.
  • En otro caso, la transferencia internacional de datos necesitará autorización del Director dela Agencia Española de Protección de Datos, que podrá otorgarse en caso de que el exportador de datos aporte garantías adecuadas (si quiere conocer qué instrumentos jurídicos pueden utilizarse para ofrecer estas garantías haga clic aquí).
  • Pregunte al prestador de servicios de cloud computing si hay transferencias internacionales de datos y, en caso afirmativo, con qué garantías.
  • Cuando los datos están localizados en terceros países podría suceder que una Autoridad competente pueda solicitar y obtener información sobre los datos personales de los que el cliente es responsable. En este caso el cliente debería ser informado por el proveedor deesta circunstancia (salvo que lo prohíba la ley del país tercero).

7.- ¿Qué medidas de seguridad son exigibles?

  • Las medidas de seguridad son indispensables para garantizar la integridad de los datos personales, evitar accesos no autorizados y recuperar la información en caso de que se produzcan incidencias de seguridad.
  • El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos personales (para conocer los niveles de seguridad según la naturaleza de los datos haga clic aquí).
  • Asimismo, el acceso a la información a través de redes de comunicaciones debe contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo local. (Para más información haga clic aquí).
  • Pregunte al proveedor de cloud computing sobre los niveles de seguridad que le ofrece y garantiza.

8.- ¿Cómo puedo garantizar o asegurarme de que se cumplen las medidas de  seguridad?

  • Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos los registros que permiten conocer quién ha accedido a los datos de los que es responsable.
  • El proveedor de cloud computing le acredita que dispone de una certificación de seguridad adecuada.Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará.
  • Solicite  información al proveedor de cloud sobre  cómo se auditarán  las  medidas de seguridad.El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse (p. ej. informar a sus propios clientes sobre cómo proteger su información personal).
  • El cifrado de los datos personales es una medida que debe valorarse positivamente. Solicite información al proveedor de cloud sobre el cifrado de los datos.

9.- ¿Qué compromisos de confidencialidad de los datos personales debo exigir?

  • El proveedor del servicio de cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados.
  • Asimismo debe comprometerse a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.

10.- ¿Cómo garantizo que puedo recuperar los datos personales de los que soy responsable (portabilidad)?

  • La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el contrato o a la terminación del servicio, a entregar toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más breve posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.
  • En particular, el cliente debe tener la opción de exigir la portabilidad de la información a sus propios sistemas de información o a un nuevo prestador de cloud  cuando considere inadecuada la intervención de algún subcontratista o la transferencia de datos a países que estime no aportan garantías adecuadas.
  • También es particularmente importante en los casos en que el proveedor de cloud modifique unilateralmente las condiciones de prestación del servicio dado su poder de negociación frente al cliente.
  • Solicite información y garantías al proveedor sobre la portabilidad de los datos personales.

11.- ¿Cómo puedo asegurarme de   que    el  proveedor de   ‘cloud’ no   conserva los   datos personales si se extingue el contrato?

  • Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es requeriruna certificación de la destrucción emitido por el proveedor de cloud computing o por un tercero).

12.- ¿Cómo puedo garantizar el  ejercicio de   los   derechos de   acceso, rectificación, cancelación y oposición (derechos ARCO)?

  • El cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos.
  • Para ello, el proveedor de cloud debe garantizar su cooperación y las herramientas adecuadas para facilitar la atención de dichos derechos.
  • Infórmese sobre las condiciones que le ofrece el proveedor para cumplir con ese deber de cooperación para garantizar el ejercicio de estos derechos.
  • Si desea más información sobre los derechos ARCO haga clic aquí.”

En el informe de la AEPD respecto al cloud computing en los despachos de abogados (5) se tratan los aspectos esenciales que deben constar en el contrato de servicios con los proveedores en relación a la protección de datos. Se debe incluir en el contrato, de una forma expresa, al encargado de tratamiento que estará obligado a seguir las instrucciones del responsable del fichero en el tratamiento de los datos. Una forma de que el cliente indique estas instrucciones puede ser la de adoptar decisiones sobre el tipo de nube con la que se le prestarán los servicios y sobre las modalidades de servicios que contrata. Para ello, deberá haber solicitado y obtenido previamente información suficiente sobre ambos aspectos. De modo que la extralimitación por parte del proveedor de cloud en su calidad de encargado del tratamiento tendrá las consecuencias previstas en el art. 12.4 LOPD (10), en virtud de las cuales el encargado del tratamiento pasa a asumir la condición de responsable del fichero. Cuando el encargado del tratamiento subcontrate alguna actividad propia del tratamiento de los ficheros, dicha subcontratación habrá de recogerse en el contrato de prestación de servicios entre el responsable y el encargado, siendo necesaria una autorización del primero en los casos de subcontratación sobrevenida no prevista en el contrato (art. 21 Real Decreto 1720/2007 (11)).

Conjunto mínimo de cláusulas, entre las que cabe destacar las siguientes:

  • Régimen de los datos.
    Es esencial que el contrato especifique que el proveedor no puede disponer de los datos personales ni hacer uso de los mismos para ningún fin que no esté expresamente autorizado por el abogado o despacho (y cuente, en su caso, con el consentimiento del titular).
  • Cumplimiento de legislación de protección de datos de carácter personal. El proveedor ha de asumir expresamente el papel de encargado del tratamiento de los ficheros de datos de carácter personal que el despacho decida trasladar “a la nube, con todas las obligaciones propias de tal figura tal y como se recogen en la legislación española y europea. Además si el proveedor almacena la información de carácter personal en sistemas ubicados fuera de la Unión Europea, ha de asumir las obligaciones que al encargado del tratamiento de los ficheros de datos de carácter personal impone la legislaciónespañola, con independencia de la jurisdicción aplicable alterritorio en el que se localizan los centros de proceso de datos. En particular, si la localización no se encuentra entre las aceptadas por la AEPD, es preciso recabar autorización de la misma, y es aconsejable incluir en el contrato de servicios las cláusulas tipo propuestas por la Unión Europea.
  • Seguridad en el acceso. El proveedor ha de garantizar que la información solo será accesible al despacho de abogados que contrata sus servicios, y a quienes el despacho determine con los perfiles de acceso correspondientes. En caso de que el abogado o despacho trate datos especialmente protegidos, se incluirán cláusulasque garanticen su tratamiento con las medidas de seguridad que sean exigibles.
  • Integridad y conservación. El proveedor ha de disponer de los mecanismos de recuperación ante desastres, continuidad en el servicio y copia de seguridad necesarios para garantizar la integridad y conservación de la información.
  • Disponibilidad.El proveedor ha de garantizar una elevada disponibilidad del servicio, así como comprometerse a organizar las paradas programadas para mantenimiento con la suficiente antelación y dando aviso de las mismas al despacho.
  • Portabilidad. El proveedor ha de obligarse, a la terminación del servicio, a entregar toda la información al despacho en el formato que se acuerde, para que éste pueda almacenarla en sus propios sistemas o bien trasladarla a los de un nuevo proveedor, en el plazo más breve posible y con total garantía de la integridad de la información.
  • Consecuencias para el caso de incumplimiento del proveedor de servicios. Cloud de las obligaciones anteriormente recogidas

También resultan útiles las preguntas y respuestas sobre el cloud computing que ha publicado la AEPD, Preguntas Cloud Computing (12),  el de las Orientaciones para prestadores de servicios de Cloud Computing (13) o la guía de Incibe Riesgos y amenazas en Cloud Computing (55).

En el artículo de José Ramón Moratalla Escudero en El Derecho se explican los riesgos jurídicos en la contratación de un servicio cloud computing. Las cautelas recomendadas a adoptar en su contratación (14):

  • Delimitar el régimen jurídico en la propiedad de los datos.
    Es preciso definir de forma clara los derechos sobre los datos y desambiguar cualquier posible cuestión sobre el uso de los mismos por parte del proveedor del servicio cloud computing, o por sus posibles subcontratistas.
  • Aislamiento de los datos. La información del contratante puede
    que termine compartiendo espacio en el servidor del datacenter con
    datos de otros clientes del proveedor. En este sentido es preciso garantizar el aislamiento de los datos de los respectivos clientes.
  • Ciframiento de los datos. Se debe exigir al prestador del servicio
    que garantice que los datos en reposo estarán correctamente aislados y que los procedimientos de cifrado de la información se realizarán correctamente y por personal especialista.
  • Fijar los indicadores o KPI´s de prestación de servicio,
    sus plazos e hitos de calidad respecto a los niveles contratados de servicio.
    Con especial énfasis en todo lo relativo a la disponibilidad y la seguridad del servidor y de las comunicaciones.
  • Documentar las políticas de backup y retención
    de datos, y establecer una política de recuperación de datos en caso de incidencias graves
    . El caso de hace unos meses del la caída del datacenter de Amazon en Dublín ha puesto de manifiesto la necesidad de establecer unos protocolos de actuación a seguir en estos casos. En dichos protocolos debe contemplarse la viabilidad de una recuperación completa y los plazos a tardar.
  • Replicar los datos. Es conveniente que los datos sean replicados
    en múltiples datacenters para evitar que sean vulnerables ante un fallo general.
  • Centralizar los registros de actividad (logs) y los datos sobre incidentes. Ello puede además resultar útil para contar con un soporte investigativo en caso de tener que exigir responsabilidades ante los tribunales. La investigación de actividades ilegales y la exigencia de responsabilidades a los proveedores en entornos cloud se presenta como una actividad harto dificultosa dado que los datos y logs de múltiples clientes pueden coexistir e incluso encontrarse desperdigados por una gran cantidad de equipos y centros de datos. También es conveniente articularse un procedimiento transparente en la notificación y registro de incidencias.
  • Garantizar la incorruptibilidad de los datos, su autenticidad y el acompañamiento de los metadatos originales. Estas garantías se imponen ante casos de borrado de datos, pérdida, alteración material o bloqueo de evidencias que pueden resultar básicas para la investigación de responsabilidades. Especial atención debe prestarse a la necesidad de concretar contractualmente qué ha de entenderse como “diligencia debida” a la hora de preservar la integridad, autenticidad, confidencialidad, indisponibilidad de los datos, y de su posterior retorno. Igualmente, contractualmente se debe arbitrar medidas que impidan la posible adopción de cambios unilaterales en los términos del servicio por parte del proveedor, o le permitan a éste someter a cautividad contractual o funcional al cliente.
  • Determinar en todo momento la ubicación de los datos: la cadena de custodia. Es muy frecuente que la información esté en tránsito y se mueva por los centros de datos ubicados en diferentes países (Mapa mundial de centros de datos), cada uno con sus propios marcos regulatorios en lo referente al tratamiento de datos y que habrá que tener presentes en la interpretación de las garantías técnicas, físicas y administrativas
    establecidas, así como en los controles de acceso. En definitiva, es
    esencial comprender como será el movimiento de los datos en la nube.
  • Exigir al proveedor la disposición de certificaciones de seguridad, a ser posible homologadas por una autoridad certificadora de competencia reconocida nacional e internacionalmente en la materia.
  • Requerir, igualmente, la realización de auditorías externas para subsanar la ausencia de información acerca de cómo
    se ha implantado la infraestructura y cómo se están gestionando
    los datos del cliente.
  • Confirmar la suscripción por parte del proveedor de un seguro de responsabilidad civil capaz de dar la cobertura necesaria. También se ha de indicar en el contrato la cuantía asegurada.
  • Diseñar una estrategia de salida, el régimen de retorno
    y plan de continuidad del negocio. Se deben procedimentar todos los pasos a seguir y es preciso prever la duración de la migración de
    datos, así como los posibles costes asociados que se puedan imputar
    al cambio de proveedor.
  • Además, se debe de haber previsto en el contrato las causas de resolución (tanto las generales como las específicas). Resulta imperativo en estos casos concretar la jurisdicción competente o la designación de arbitraje tecnológico con el fin de atender los posibles casos de resolución por incumplimiento contractual.

Entre las respuestas la AEPD indica que debe tenerse en consideración el reglamento europeo de protección de datos personales, la propuesta se encuentra publicada en la web Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (15). El Consejo, el Parlamento y la Comisión alcanzaron aprobaron el 15 de diciembre los textos transaccionales sobre la reforma de la protección de datos (16)

 

3. Las repercusiones del espionaje masivo de Estados Unidos en los servicios
de computación en la nube

Los documentos publicados por Edward Snowden revelaron que uno de los principales objetivos del espionaje masivo de la NSA (Agencia de Seguridad Nacional) de Estados Unidos, no ha sido el terrorismo sino el industrial y económico. Una consecuencia directa ha sido la concienciación tanto de ciudadanos y empresas en establecer mayores mecanismos de protección de su privacidad y de su información más sensible, exigiendo que sus datos se almacenen en servidores ubicados en países con legislación más restrictiva. No obstante, no nos engañemos, esto no impediría que las agencias de inteligencia más cercanas no vigilaran esta información.

El director de la empresa de seguridad InternetF-Secure, que ofrece servicios de nube en los países nórdicos, comentó: “Si usted va a tener a un Gran Hermano, yo tendría muy más bien un Gran Hermano doméstico que un Gran Hermano extranjero” (17).

Estas revelaciones publicadas en la prensa sacaron a la luz que la información y comunicaciones que almacenaban y transmitían los grandes gigantes tecnológicos como Facebook, Google, Twiter, Amazon, Microsoft, Apple, etc, que están sometidos a la legislación estadounidense,  fundamentalmente el Patriot Act (18) y el Cispa(Cyber Intelligence Sharing and Protection Act), fueron controladas por la NSA.

Las repercusiones económicas han sido casi inmediatas. En un estudio
de la Fundación de Tecnología de la Información e Innovación, en 2016 las principales compañías tecnológicas norteamericanas soportarán una caída de ingresos de 35.000 millones de dólares (unos 25.800 millones de euros) (19). Los pedidos en China cayeron, por ejemplo, un 18% durante septiembre, octubre y noviembre de 2013 (20). Daniel Castro, analista de la Information Technology and Innovation Foundation comentó “Esto es una trayectoria muy negativa, donde consumidores y gestores de negocios, sobre todo empresas extranjeras, están poco dispuestas a usar servicios estadounidenses” . Castro publicó un informe en agosto de 2013 estimando que los proveedores de datos estadounidenses pueden perder de 21.5 mil millones de dólares a 35 mil millones de dólares en el negocio durante los próximos tres años.” (21). Según, Myron Brilliant, vicepresidente ejecutivo de la Cámara de Comercio de EE.UU en Washington, las empresas de tecnología no son las únicas que se enfrentan a perjuicios económicos por la divulgación del espionaje de la NSA, diversos estudios demuestran que productos y servicios que dependen de los flujos de datos transfronterizos supondrán anualmente para la economía norteamericana un billón de dólares (similar al PIB español) durante los próximos diez años (20).

En la memo de la Comisión Europea, What does the Commission mean by secure Cloud computing services in Europe? (22) se menciona cómo el programa PRISM de espionaje de la NSA ha afectado al desarrollo del cloud computing en la institución:

  • La Comisión estableció un European Cloud Partnership Steering Board ante las revelaciones del año 2013 y la reunión de julio discutieron sus posibles consecuencias.
  • Los miembros del Steering Board expresaron una seria preocupación sobre el efecto de PRISM en relación a la adopción del cloud computing en Europa y pidieron medidas urgentes para solucionarla.
  • Después de PRISM se presentaron dos asuntos:
    • En primer lugar, una reticencia de los ciudadanos europeos, empresas y administraciones públicas a usar la computación en nube, considerando que los usuarios anteriormente ya tenían algunas reservas sobre la seguridad y confidencialidad de la información en la nube, el conocimiento de PRISM agravó esta situación.
    • En segundo lugar, las revelaciones sobre PRISM han contribuido a incrementar las iniciativas de computación en la nube nacionales o regionales, lo que supone una oportunidad para las empresas que operan en Europa ya que ofrecen una nube con servicios confiables que cada vez más los usuarios exigen a nivel mundial. Aunque advierten que esta fragmentación o segmentación del mercado de la computación
      en la nube podría desgraciadamente detener el desarrollo del cloud computing en Europa. Las administraciones públicas nacionales impiden que algunos tipos específicos de datos se transfieran fuera de sus fronteras, incluso dentro de la UE. Un mercado mayor aumentaría la competencia y la reducción de costes y también abriría nuevas oportunidades para los proveedores de la nube europeos, que en este momento están lejos de ser líderes en el mercado.

Los países latinoamericanos están también reaccionando ya que la NSA han controlado sus comunicaciones, entre ellos el más vigilado ha sido Brasil, seguido de Colombia y México (23). Entre los principales objetivos de la vigilancia cabe destacar la interceptación de secretos comerciales en el sector del petróleo y adquisiciones militares en Venezuela o el sector energético en México (24).

En América Latina, Brasil está siendo el país más beligerante con dos iniciativas: la primera, en febrero de 2014, con motivo de la cumbre anual de UE-Brasil, en la que propuso a Bruselas cerrar la financiación de un proyecto de 185 millones de dólares para crear un cable submarino de fibra óptica directo entre Europa y Brasil para eliminar su dependencia de los cables submarinos estadounidenses, la empresa española IslaLink Submarine Cables en asociación conjunta con la telefónica brasileña Telebras realizaría el proyecto (25). En la segunda, se presentó una propuesta al Parlamento Brasileño de nube local, es decir, de almacenamiento en servidores nacionales de todos los datos de los ciudadanos brasileños (26). México también sopesa implantar sus propios controles (20).

 

4. Las iniciativas de la Comisión Europea

En septiembre de 2012, la Comisión Europea adoptó una estrategia para el crecimiento del Cloud Computing en Europa, que proponía acciones para ganar más de 2.5 millones de nuevos trabajos y un aumento anual de 160 billones de euros al PIB de la Unión Europea (alrededor del 1%), para el año 2020. La estrategia está diseñada para acelerar y aumentar el uso del cloud computing en todos los sectores económicos (27).

En la memo de la Comisión Europea, “What does the Commission mean by secure Cloud computing services in Europe? (22) se resalta:

  • Lo que podría ganar Europa por ser un región de confianza en la nube líder en el mundo:
  • La computación en la nube supone una ventaja competitiva para los proveedores europeos porque ofrecen estándares altos de protección de datos, seguridad, interoperabilidad y transparencia en los  niveles de servicio y en el gobierno del acceso a la información. La propuesta para la regulación de protección de datos proporcionará un fundamento jurídico uniforme para la protección de datos personales en Europa. En particular, la nube pone las mejores soluciones al alcance de las pequeñas empresas que son la piedra angular de la economía europea, y la nube permitirá un salto particularmente grande de productividad en Europa si se convence a estas empresas para que la usen.
  • Las posibles economías de escala de un mercado único de toda la UE realmente funcionarían para el cloud computing, donde las barreras al libre flujo de datos en la UE se reducen sustancialmente, lo cual supondría un enorme impulso a la competitividad. Es la razón por la que Europa debe establecer un mercado interior completamente funcional para cloud computing.
  • Una amplia adopción de cloud computing por el sector público conduciría a fijar el marco adecuado para que el negocio de la nube en Europa pueda salir adelante, el sector público en Europa se debe posicionar como un early adopter de la computación en la nube.
  • La restauración de la confianza y construcción de
    una nube más segura y confiable en Europa
    :

La confianza de los clientes puede restaurarse con una mayor transparencia y el uso de altos estándares. La estrategia europea de Cloud Computing, incluye medidas para mejorar la transparencia del mercado. Para ello son esenciales: una descripción mejor de los estándares, una certificación del uso de dichas normas y unas condiciones del contrato seguro y justo para el cloud computing. Los niveles de servicio deben ser transparentes, como el tiempo en que se desarrolla el servicio y lo que ocurre cuando no funciona. Los informes y auditorías sobre el acceso a los datos deben estar accesibles a los clientes para poder controlar qué usuarios consultaron
sus datos y los porqués. Asimismo se deben contemplar aspectos tan importantes como la interoperabilidad o la comunicación a los usuarios de situaciones potenciales de bloqueo en posibles infracciones de seguridad. Además, para restaurar la confianza y la transparencia se debe establecer
un marco de gobernabilidad para el acceso, informando de aquellos casos en que los gobiernos y los servicios de inteligencia, en cumplimiento de las leyes y de la seguridad nacional, solicitan consultar los datos de los clientes.

  • Los servicios transfronterizos en la nube son necesarios:

Los servicios en la nube transfronteriza deben ser la norma, no la excepción. Se debe evitar la fragmentación del mercado y evitar la necesidad de una reforma en la reglamentación de la industria de nube.

  • Necesidad de colaboración entre los Estados miembros y el sector privado para la adopción de servicios en una nube segura:

Tiene que ser un esfuerzo combinado ya que la adopción de servicios en una nube segura en Europa no va a ocurrir a través de acciones independientes realizadas por actores individuales. La estrategia europea para cloud computing ayudará pero también necesitará que los Estados Miembros trabajen juntos para compartir sus propias soluciones de mejoras. En este sentido, la Comisión está apoyando la iniciativa en la nube para Europa, preparando al sector público para la contratación de servicios en la nube, maximizando los beneficios y competencia, y minimizando riesgos. Aunque la industria de la nube también deberá participar invirtiendo en soluciones de seguridad innovadoras.

  • Las soluciones en la nube pueden ser más seguras que las
    locales
    :

Muchas empresas prefieren procesar y almacenar sus datos localmente porque les parece que están más seguros.  Indiscutiblemente se pueden crear nubes locales en dichos centros pero puede que no sean seguras ya que no cumplirían los niveles más altos de seguridad. Por otra parte, actualmente los sistemas no están tan herméticamente cerrados como en el pasado debido al uso de los servicios móviles, la tendencia hacia el uso de dispositivos propios y el intercambio de plataformas con clientes, ciudadanos, socios de negocios, etc. Por esta razón, la computación en nube, con las debidas especificaciones, se presenta como una alternativa
más segura.

  • Se recomienda la encriptación en el tránsito y almacenamiento para proteger información sensible:

El cifrado puede y se debe usar para proteger la información sensible cuando está transitando y cuando se almacena.  Aunque se puede romper el cifrado, es necesario desarrollar soluciones para hacerlo muy seguro. La autenticación de la seguridad podría permanecer sólo en manos del titular de los datos, de esta manera se eliminaría el riesgo de que alguien más pueda descifrarlo.

En septiembre de 2012 la Comisión adoptó la European Cloud Computing Strategy “Unleashing the potential of the Cloud Computing in Europe” (28) para facilitar una rápida adopción del cloud computing en Europa. En este contexto, se le asignó como tarea al European Telecommunications Standards Institute (ETSI) realizar un mapa de los estándares cloud computing en colaboración con todas las partes interesadas pertinentes.

Los pasos en la computación de la nube (28) que mostraban los trabajos preparatorios:

  1. Fragmentación del mercado único digital debido a los diferentes marcos regulatorios nacionales y las incertidumbres sobre
    la legislación aplicable, una de las preocupaciones más altas era la ubicación de los datos y contenidos digitales de los posibles
    clientes y proveedores de la nube.
  2. Los problemas con los contratos que están relacionados con las preocupaciones sobre acceso a los datos y portabilidad, control de
    cambios y su propiedad. Por ejemplo, las inquietudes respecto a cómo serán compensados: la responsabilidad de los fallos del servicio durante el tiempo de inactividad o en la pérdida de datos; los derechos de usuario en relación con las actualizaciones del sistema decididas unilateralmente por el proveedor; la propiedad de los datos creados en aplicaciones en la nube; o en cómo se resolverán las disputas.
  3. La jungla de estándares que generan confusión, de una parte existe una proliferación de estándares y por otro lado faltan algunos para proveer unos niveles de interoperabilidad adecuados de formatos de datos que permitan la portabilidad; las salvaguardas para la protección de los datos personales o los ciberataques.

En noviembre de 2013, ETSI, publicó un mapa de estándares necesarios para el cloud computing (29) en el que se presenta una definición de los roles, una colección y clasificación de más de 100 casos de uso; una lista de 20 organizaciones normalizadoras relevantes; una selección de alrededor de 150 documentos asociados, normas y especificaciones; informes y white papers producidos por dichas organizaciones; una clasificación de actividades que necesitan llevarse a cabo por los clientes o los proveedores de los servicios de cloud durante todo el ciclo de vida del servicio; y un mapeo de los documentos de cloud computing (en particular de estándares y las especificaciones) en estas actividades. En la siguiente tabla Excel de ETSI se recoge el listado de estándares: List of Standars Specifications – Cloud Computing (30).

La Comisión Europea se comprometió a trabajar con el apoyo de ENISA (European Network and Information Security Agency) y otros órganos pertinentes para ayudar al desarrollo de sistemas de certificación voluntaria de toda la UE en el área de computación en nube y establecer una lista de dichos planes para el año 2014. También se estableció el grupo de trabajo Industry Group (SIG) en la certificación para apoyar el trabajo de certificación. La certificación de servicios de cloud computing puede ayudar a proporcionar mayor transparencia en el mercado, permite a los proveedores demostrar a sus clientes que están cumpliendo con ciertos estándares, por ejemplo, en red y en seguridad informática. Esto ya ha generado resultados intermedios: una lista de sistemas de certificación existentes y un conjunto de principios y recomendaciones que el grupo SIG-certificación considera importante cuando se trata de certificación de computación en la nube.

La lista de sistemas certificación existentes de ENISA Cloud Computing
Certification Schemes List – CCSL
(31): ISO 27001, Open Certification Framework, EuroCloud Star audit, TUV Certified Cloud Service, Security Rating Guide.

ENISA ya publicó en el 2009, un informe sobre la gestión de riesgos en la nube, Cloud Computing Security Risk Assessment (32) apoyada por un grupo de expertos integrado por representantes de la industria, instituciones académicas y organizaciones gubernamentales. Se llevó a cabo una evaluación de riesgos en el modelo de negocio y tecnologías de computación en nube en el contexto del proyecto Emerging and Future Risk Framework. El resultado es un análisis en profundidad e  independiente que describe algunos de los beneficios de seguridad de información y los riesgos de seguridad clave de cloud computing. El informe también proporciona un conjunto de recomendaciones prácticas. Este es un análisis en profundidad e independiente que describe algunos de los beneficios de seguridad de información y los riesgos de seguridad clave de la computación en la nube. El informe también proporciona un conjunto de recomendaciones prácticas. En la misma dirección, en enero de 2011, ENISA publicó en colaboración con INTECO (35) una guía para las administraciones públicas en materia de cloud computing, Security and Resilience in Governmental Clouds (36) que muestra los pasos a seguir para implementar una arquitectura de estas características e identifica un modelo de toma de decisiones con respecto a los requisitos operativos, jurídicos y de seguridad de la información a la identificación de la solución de arquitectura de computación que mejor se adapte a las necesidades de su organización. INTECO también publicó un documento en el 2011, Riesgos y amenazas en cloud computing (37), que analiza la problemática de estos entornos, proporcionando una visión global, desde los puntos de vista de NIST, Gartner y CSA. Actualmente ENISA (38) está desarrollando una visión sobre la importancia de los servicios en la nube, el ahorro en los costes de los servicios de centros de datos y del impacto de un fallo de estos servicios.

Muchos de estos pasos necesarios ya se han identificado como acciones en el Single Market Pillar (39) de la Digital Agenda for Europe y en el Single Market Act (40). La mayoría de estas acciones están ya en manos de los legisladores para que rápidamente se muevan para adoptar e implementar estas propuestas.

Las acciones clave (28):

La adopción e implementación de las propuestas de la Agenda Digital es el primer paso para completar el mercado único digital y una nube-amigable. Pero para alcanzar una nube-activa se necesita desarrollar un clima de certidumbre y confianza para el cloud computing en Europa. La cadena de confianza comienza con la identificación de los estándares que pueden certificar a las soluciones que cubran las necesidades de los clientes, tanto públicos como privados, cuando adopten los servicios cloud, y para que se sientan seguros en sus contratos.

Las autoridades públicas tienen un papel que desempeñar en la creación de un entorno de nube confianza en Europa, usando su fuerza de contratación pública para promover el desarrollo del cloud computing en Europa basado en tecnologías abiertas y plataformas seguras. El trabajo preparatorio se dirige a la necesidad de marcos específicos para el Cloud Computing en relación tanto a los estándares como a la certificación y las condiciones y términos de contratación.

  • Acción clave 1 – Mayor uso de los estándares de cloud Promover un uso mayor de los estándares del cloud y de la certificación de servicios en la nube, que ayudarán a su
    despegue. Los usuarios rara vez son capaces de evaluar estos servicios y por esta razón se hacen necesarias las certificaciones. La Comisión desea:

    • Promover un cloud seguro y confiable mediante la tarea de ETSI que, en coordinación con las partes interesadas, identificaron en 2013 un mapa detallado de los estándares necesarios (seguridad, interoperabilidad, portabilidad de los datos y reversibilidad).
    • Mejorar la confianza en los servicios de cloud computing recomendando las especificaciones técnicas en el nivel europeo en el campo de las tecnologías de la información y comunicación para la protección de la información personal de acuerdo con la nueva regulación. El NIST publicó una serie de documentos relacionados con los estándares, que incluyen definiciones (41).
    • Trabajar con el soporte de ENISA y otras entidades relevantes para asistir en el desarrollo de los esquemas de certificación voluntaria en toda Europa en el área del cloud computing (incluida la protección de datos) y establecer un listado de tales esquemas
    • Controlar los cambios medioambientales de los crecientes servicios de cloud mediante acuerdos con la industria, armonizando las métricas para el consumo de energía, el consumo de agua y las emisionesde carbono para 2014.
  • Acción clave 2 – Términos y condiciones de contratos
    seguros y justos
    En el cloud computing el cliente espera capacidades IT infinitamente escalables y flexibles según sus necesidades, la complejidad y la incertidumbre del marco jurídico para la nube significa contratos muy complejos. El contrato estándar podría suponer un ahorro de costes para el proveedor pero impondría sus condiciones al cliente. Incluso las grandes compañías tienen en algunos casos poco poder negociador para asegurar la continuidad de la integridad, confidencialidad o servicio de datos mediante estos contratos.Los acuerdos de nivel de servicio (SLA) determinan la relación entre el proveedor de la nube y los usuarios profesionales y proporcionan esencialmente la base de confianza. En cuanto a los consumidores y pequeñas empresas, la Comisión propone, como una acción con el objetivo de fomentar la confianza digital bajo la Agenda Digital, un Reglamento sobre Compraventa Europea (42), aborda muchos de los obstáculos derivados de normas del derecho de ventas nacionales divergentes proporcionando a las partes contractuales un conjunto uniforme de normas.En estos contratos se debería abarcar cuestiones tales como la preservación de datos después de la terminación del contrato, divulgación de datos e integridad, ubicación de datos y transferencia, responsabilidad directa e indirecta, propiedad de los datos, cambio de servicio por parte de los proveedores de la nube y la subcontratación. Aunque la legislación comunitaria vigente protege a los usuarios de servicios en la nube, es importante que los consumidores conozcan sus correspondientes derechos especialmente respecto a la legislación aplicable y jurisdicción civil y comercial.Tanto proveedores como usuarios han solicitado el desarrollo de los términos de un contrato modelo de servicios en la nube y difundir las mejores prácticas en éstos.Por otro lado la propuesta del Reglamento sobre Protección de Datos Personales garantizará un alto nivel de protección de los datos que se transfieran en UE y EEA a través de unas cláusulas contractuales estándar que regulen las transferencias internacionales de datos y el establecimiento de las condiciones necesarias para la adopción de normas corporativas nube-amigables. La Comisión desea para 2013:
    • Desarrollar con las partes interesadas los términos del modelo para el acuerdo de nivel de servicio (SLA) para los contratos entre los proveedores de cloud y sus clientes, teniendo en cuenta el acervo comunitario en vías de desarrollo de la Unión Europea en este campo.
    • El objetivo es estandarizar los términos y condiciones del contrato proporcionando las mejores prácticas de los contratos de servicios en la nube sobre aspectos relacionados con el suministro de “contenidos digitales”, en consonancia con la comunicación sobre Compraventa Europea (42) en que se propone a los consumidores y pequeñas empresas los términos y condiciones contractuales para un modelo, para esos problemas que caen dentro de la propuesta de común,
    • Facilitar la participación europea en el crecimiento global del cloud computing mediante: la revisión de las cláusulas contractuales aplicables a la transferencia de datos personales a terceros países y adaptándolos cuando se necesitan a los servicios cloud; llamando a las autoridades nacionales de protección de datos para aprobar las reglas corporativas vinculantes a los proveedores cloud.
    • Trabajar con la industria para lograr un acuerdo sobre un código de conducta para los proveedores de cloud computing para apoyar una aplicación uniforme de las reglas de protección de datos que se deben someter al Article 29 Working Party (43) para su aprobación con el fin de asegurar una cierta coherencia entre el código de conducta y la legislación europea.
  • Acción clave 3 – Promover un liderazgo común
    del Sector público a través de una asociación Europea
    de cloud.
    El sector público tiene un papel importante a jugar en la conformación del mercado de la computación en nube. Como la Unión Europea es el comprador mayor de los servicios IT, puede establecer requisitos rigurosos para sus características de rendimiento, seguridad, portabilidad de datos e interoperabilidad, conformidad con los requisitos técnicos, así como establecer requisitos para la certificación. Varios Estados miembros han comenzado iniciativas nacionales como Andromede en Francia, G-Cloud en el Reino Unido o Trusted Cloud en Alemania. Pero con el mercado del sector público fragmentado, sus requisitos tienen poco impacto, la integración de servicios es baja y los ciudadanos no obtienen el mejor valor por dinero. La agrupación de los requisitos públicos puede traer una mayor eficiencia, y los requisitos comunes sectoriales (e.g. eHealth, asistencia social, asistencia y servicios de administración electrónica, tales como abran data32) reducirían costes y facilitarían la interoperabilidad. El sector privado se beneficiaría de una alta cualidad en los servicios, más competitividad, una rápida normalización, mejor interoperabilidad y mayores oportunidades de mercado para las pymes de alta tecnología. La Comisión ha creado el European Cloud Partnership
    (ECP)
    (44) para proporcionar un paraguas a las iniciativas en el nivel de los Estados Miembros. El representante español es Aitor Cubo Contreras, Deputy Director General of Programs, Studies and Promotion of Electronic Administration, Spanish Ministry of Finance and Public Administrations. Pretende unir a los expertos de la industria con los usuarios del sector público para trabajar en los requisitos de contratación pública común para el cloud computing de una forma transparente. Proporciona asesoramiento a la Comisión sobre las opciones estratégicas para convertir el cloud computing en un motor para el crecimiento sostenible, la innovación y los servicios públicos eficientes. Se compone de representantes de alto nivel de IT y de la industria de IT y de las telecomunicaciones,
    y de los gobiernos.

 

5. El negocio de la computación en la nube en Europa

En un informe preparatorio llevado a cabo por la Comisión se estimó que el cloud público generará 250 billones de euros del PIB en el 2020 con políticas de cloud amigables contra los 88 billones de euros en un escenario de no “no intervención”, que conducen a impactos extras acumulativos del 2015 al 2020 de 600 billones de euros, esto se traduce 2.5 millones de puestos de trabajo (28)).

Si se considera que el mercado de la computación en la nube moverá 207.000 millones de dólares en 2016 (20), según el mismo estudio de la Fundación de Tecnología de la Información, para las empresas europeas supone una gran oportunidad competir en ofrecer los mismos servicios que las estadounidenses ofreciendo más seguridad y privacidad respaldados por una legislación más restrictiva. Como ya se ha comentado España puede presentarse como una alternativa porque figura entre los cuatro países más solventes en la protección de datos, según la consultora BackgroundChecks.org. (1).

Las empresas europeas y españolas están adoptando principalmente dos estrategias con objeto de captar a estos clientes que desconfían de las grandes compañías estadounidenses, por un lado, informar en sus sedes web y en su promoción que sus centros de datos se encuentran en países con una mayor protección de los datos personales y la propiedad intelectual, y por otro, aliándose con otras empresas de su mismo país o de países europeos para establecer alianzas y ejercer mayor poder en la defensa de sus intereses.

En Europa, las empresas europeas que ofrecen servicios de computación
en la nube se han constituido en asociaciones nacionales y han formado una federación, Eurocloud. Los países que la integran son: Portugal, España, Francia, Reino Unido, Bélgica, Luxemburgo, Alemania, Suiza, Suecia, Austria, Eslovenia, Italia, Irlanda, Bulgaria, Eslovaquia, Polonia, Rumanía, Serbia y Hungría. La representación de nuestro país es EuroCloud
España.

Por otro lado, 9 organizaciones de toda Europa ((Inria (Francia), CNR (Italia), Genias (Holanda), HP (Italia), Linagora GSO (Francia), STFC (Reino Unido), Tiscali (Italia), VU – University, Amsterdam (Holanda), Tiscali (Italia), Zlab (Slovenia), ZIB zuse Institute Berlin (Germany)) han colaborado en Contrail (44) la European Cloud Federation Framework, que es el primer nivel de la Federación Open Computing Infrastructure for Elastic Services. El objetivo del proyecto ha sido crear un ecosistema de socios y desarrolladores que puedan ofrecer al mercado nuevas aplicaciones de una forma más rápida. Se propuso crear un prototipo que garantizara la fiabilidad de los datos y el cálculo de los recursos de computación independientemente de la geografía y del proveedor de servicios para ayudar a las organizaciones europeas en los servicios en la nube. De esta forma, los usuarios podrían interactuar de una forma transparente con múltiples proveedores de servicios cloud. Es un proyecto cofinanciado en el EC 7th Framework Programme que se ha desarrollado desde el 2010 a enero del 2014. Se ofrece software que podrá ser desarrollado en otros proyectos. Contrail comprende tres componentes principales: Federación cloud, Infraestructura como Servicio y Plataforma como Servicio. Se basa en estándares para la interoperabilidad que proporcionan a las organizaciones la posibilidad de elección y flexibilidad que propician la colaboración y la portabilidad de los datos. La libertad en la elección del proveedor fomenta la innovación, proporciona transparencia en diseño de infraestructura y permite a los desarrolladores elegir las herramientas, lenguajes e infraestructuras que deseen usar (45).

Una investigación llevada a cabo por HP revela que el 95% de los profesionales TIC opina que la estandarización entre los proveedores hará más fácil a las organizaciones adoptar el modelo híbrido. “Los países europeos no verán los beneficios de la nube a menos que se tomen medidas para lidiar con las barreras restantes a la adopción. Algunas de las  principales acciones implican deshacerse de la ‘jungla’ de normas técnicas para permitir la interoperabilidad”, dijo Xavier Poisson Gouyou Beauchamps, Vicepresidente Cloud Computing, HP EMEA. “La transparencia es esencial para hacer trabajos de normalización europeo porque asegura la fiabilidad de los datos sin importar de qué país estamos, innovación de velocidades y nos obliga a repensar cómo nos acercamos a seguridad” (46).

En un informe de Verizon y Emc (6) se incluyen las principales barreras en Europa para la adopción del cloud computing: seguridad y protección de datos (30%), confiabilidad (25%), localización de los datos (24%), soporte local (23%), control del cambio (22%), propiedad de la personalización (21%), evaluación de su utilidad (18%), conexión lenta a internet (18%), lenguaje local (18%) e incentivos fiscales en gastos de capital (17%). Las principales preocupaciones de los clientes: ¿quién es responsable de mis datos y de su integridad? ¿Qué pasará si ocurre una brecha en la seguridad? ¿Es fácil cambiar mis datos a otro proveedor en la nube, o conectar con otra aplicación de otro proveedor?.

Las iniciativas de computación en la nube en los países europeos:

Suiza

Suiza intenta sacar provecho y convertirse en un refugio seguro para el almacenamiento de datos al igual que para el dinero, su reputación la avala. Christoph Oschwald, dirigente de Mount10, uno de los centros enterrados bajos los Alpes, llamados Fort Knox, y que alberga los datos del Parlamento suizo asegura: “Todo esto es muy bueno para nosotros porque nuestro negocio se multiplicó por tres en muy poco tiempo. Ya no tengo que explicarles a mis clientes por qué tienen que pagar”. Suiza pone a disposición una serie de bunkers del ejército suizo que se construyeron en los Alpes, uno de ellos es el de Attinghausen que se encuentra dentro de una montaña de granito, a 1.000 metros de la cima, con coordenadas secretas de GPS. La empresa suiza Deltalis custodia estos 15.000 metros cuadrados de los que sólo utiliza 600
metros cuadrados, para entrar exigen un documento de identidad con la huella venosa, más segura que la huella digital. A los clientes se les promete almacenar sus archivos digitales con total seguridad, sin cortes de electricidad, desperfectos técnicos, terremotos, ataques terroristas y, por supuesto, cualquier tipo de intrusión (47).

Alemania

En Alemania las empresas de telefonía se han aliado y están demandando una solución para Internet y para que los correos electrónicos de sus empresas y ciudadanos se transmitan dentro de sus fronteras, ya que tienen regulaciones de privacidad más estrictas que la de los Estados Unidos, no es necesario que estos datos de las comunicaciones pasen por sus servidores exponiéndolos al espionaje. Algunas empresas  alemanas se han asociado y están ofreciendo soluciones de computación en la nube Cloud Services: Made in Germany proveedores de soluciones de cloud computing en Alemania. El presidente de una de las empresas asociadas a este grupo, Jan Oetjende de GMX, comentó: “Usted tiene que asegurarse que sus datos se almacenan exclusivamente en Alemania, en la tierra alemana”. (21). Otra compañía Cloud Germany se publicita en su web como “made in Germany“.

El Trusted Cloud es un programa para la computación segura en la nube promovido por el Federal Ministry of Economic Affairs and Energy (BMWi), dirigido a las pequeñas y  medianas empresas para que puedan beneficiarse de sus aplicaciones y servicios. La forman treinta y ocho empresas, 26 instituciones científicas y cinco instituciones más actualmente están participando en más de 14 proyectos y continuarán hasta finales del 2014. El BMWi pone a disposición aproximadamente 50 millones de euros de financiación para el programa. Con las contribuciones hechas por los socios llegan a un total de aproximadamente 100 millones de euros de financiación (48).

Francia

En Francia se ha creado una nueva compañía de cloud computing, Numergy, por el operador francés SFR el IT group de Bull, asociados con la firma de inversión del gobierno Caisse des Depots. Esta empresa tiene como objetivo proveer de servicios cloud al gobierno y a las empresas en Francia y Europa y espera disponer de 400 empleados y generar 400 millones de euros en cuatro años (419). Se promocionan en su sede web indicando que disponen de una infraestructura (IaaS) segura y que garantiza el control de la localización de los datos de los usuarios y que sus centros de datos están instalados en Francia y cubrirán también territorio europeo. El gobierno francés también ha invertido millones en la empresa Cloudwatt que se publicita con el mismo argumento en su sede web: la ubicación de sus datos en Francia por una empresa francesa es una garantía de cumplimiento de la legislación sobre la protección de estos datos, como no es de origen americano, es una garantía en relación al Patriot Act.

En el 2011, el estado francés invirtió 135 millones de euros en la alianza de empresas Andromede formada por France Telecom-Orange, Thales y Dassault Systemes, con un capital total de 225 millones de euros. La empresa suministrará servicios cloud a las empresas, administraciones y al sector de las TI. Ofrecerán una plataforma que funcionará con software abierto, para impulsar la interoperabilidad y la normalización, con altos niveles de seguridad. (49).

Reino Unido

En el Reino Unido G-Cloud, lo forma un conjunto de infraestructuras, que permite al sector público, comprar servicios en el CloudStore en el que se ofrecen en 4 lotes: Infraestructura como Servicio (IaaS); Plataforma como Servicio (PaaS); Software como Service (SaaS); y Servicios de Cloud Especiales (SCS). Los objetivos de la estrategia:  lograr una gran economía de escala del gobierno; distribuir los sistemas ICT (Information and Communication Technologies) para que sean flexibles y respondan a las demandas para apoyar las políticas y estrategias del gobierno; aprovechar las nuevas tecnologías para una distribución más rápidade los beneficios de los negocios y reducir los costes; cumplir con objetivos medioambientales y de sostenibilidad; permitir al gobierno alentar un mercado dinámico y sensible de proveedores y apoyar a los proveedores emergentes.

 

6. La computación en la nube en España

La Agenda Digital para España, aprobada en febrero de 2013, con una inversión total de 2.000 millones ayudará a generar nuevas oportunidades de empleo en el sector, mediante planes específicos para el impulso de la formación, la creación de polos tecnológicos y el apoyo financieros a emprendedores y pymes (50).

En la Agenda Digital para España (51) el Eje III: Fomento de la demanda se apalanca principalmente en el desarrollo del resto de los planes de la Agenda para incrementar la adopción y uso de la banda ancha ultrarrápida entre ciudadanos, empresas y administraciones.

Al Programa de fomento de la demanda de soluciones cloud para PYME se dedican 135 millones de euros. Entre sus objetivos se encuentra la adopción por parte de las pymes y autónomos de soluciones empresariales fundamentalmente basadas en servicios cloud.computing, así como el uso de redes de banda ancha ultrarrápida (4G para acceso móvil, +100Mbps para acceso fijo) que garantice una utilización óptima de dichos servicios. La medida contempla su aplicación sobre un número elevado de PYMEs y se articulará con mecanismos de colaboración público-privada, alineando esfuerzos con el sector privado (51).

Entre los objetivos del Plan de TIC en PYME y comercio electrónico se encuentra el de impulsar y favorecer la adopción y utilización de las TIC por parte de la PYME, poniendo énfasis en el uso de soluciones basadas en el modelo cloud computing, por los ahorros de costes y resto de beneficios (una más eficiente fuerza móvil de trabajo, productividad más alta, la posibilidad de abrir nuevas localizaciones y entrar en nuevas áreas de negocio) que el cloud computing aporta a la empresas frente al uso de  soluciones basadas en modelos tradicionales (51).

Al Desarrollo de la oferta TIC bajo el modelo Cloud Computing en PYME se dedican 5 millones de euros. Se realizarán acciones de sensibilización, capacitación y asesoramiento personalizado e individualizado, que  permitan ayudar a las empresas a construir su modelo de transición al cloud computing bajo la perspectiva tecnológica y de negocio. Posteriormente, se apoyará a las empresas en la migración de soluciones al cloud. En cuanto a la demanda, se realizarán acciones que se complementarán con servicios de asesoramiento individualizado y especializado para acompañar a las pymes en el proceso de migración. Ya se ha arrancado este modelo en Andalucía y se está extendiendo a otras regiones (51).

El director general de Red.es, César Miralles, en la IV edición de Expocloud 2014, destacó la importancia de acercar esta nueva tecnología a las empresas españolas y, especialmente, a las pymes. Proporcionó algunos porcentajes: “podemos decir que el 60% de las empresas españolas han tenido alguna experiencia con la tecnología cloud, la implantación en las grandes empresas ha sido mayor, un 35 %, frente a las pequeñas y medianas empresas con un 18 %”. Mencionó que en la Agenda Digital para España se incluyen medidas para el fomento de esta tecnología, enfocadas a reducir el desconocimiento de las pymes sobre los costes, la seguridad o la confidencialidad. Además, Miralles, como director general de una entidad pública, destaca la importancia de convertir a las Administraciones en ‘early adopters’, es decir, en prescriptores e impulsadores del uso de estas nuevas tecnologías (52).

Actualmente Red.es que está concediendo unas ayudas para la adopción de soluciones cloud que finalizarán el 25 de mayo de 2016 (56)

En Andalucía, se inauguró el 2011 el Centro de Tecnologías Cloud Computing creado por Vodafone y Microsoft, que depende del Centro Demostrador TIC de Andalucía, ambas empresas han destinado una inversión conjunta adicional de 1,8 millones de euros. El Centro Demostrador TIC está dotado con una inversión de 2 millones de euros aportados por el Ministerio de Industria, Turismo y Comercio, a través de Red.es, y cuenta con la financiación de Fondos Europeos de Desarrollo Regional (FEDER), entre sus objetivos se encuentra el convertirse en un lugar de referencia en torno al cloud computing. A la inauguración asistió el Secretario de Estado de Telecomunicaciones y para la Sociedad de la Información, Juan Junquera; el Consejero de Economía, Innovación y Ciencia de la Junta de Andalucía, Antonio Ávila; el presidente de Eticom, Adolfo Borrero; la presidenta de Microsoft Ibérica, María Garaña; y el presidente ejecutivo de Vodafone España, Francisco Román. Según Eticom, un proyecto tan ambicioso como este tiene asegurado su éxito gracias a la permeabilidad que esta patronal garantiza en las PYMES tecnológicas y, al mismo tiempo, posibilita la aportación de fondos públicos y los recursos derivados de estos a las empresas, que de forma individual difícilmente podrían acceder a los mismos (53). Un listado de Centros Demostradores se puede encontrar en la sede web de Red.es.

Red.es, hasta el 2013 ya había invertido en Andalucía, en aplicación de la Agenda Digital, más de 211 millones de euros, y entre 2014 y 2015 tiene previsto en sus presupuestos, una inversión de 390 millones de euros, de los cuales 100 millones tendrán un impacto exclusivo en las pymes y administración regional y local de Andalucía. Entre estos proyectos estratégicos destaca la creación de programas para fomentar el cloud computing tanto desde el lado de la oferta como de la demanda, ayudas a la capacitación e implantación de soluciones de comercio electrónico, la creación de un Hub de contenidos digitales y un centro demostrador de tecnologías ubicuas. En materia de servicios públicos, destaca la inversión TIC en los ámbitos de la justicia, la sanidad y la educación, en colaboración con la Junta de Andalucía, así como proyectos en colaboración con Corporaciones locales andaluzas para poner en marcha proyectos de ‘SmartCity’ en el ámbito turístico o servicios de administración electrónica.

En relación a los proveedores de servicios en la nube en España, como ya se ha mencionado, las empresas de cloud computing que operan en España se han reunido en la asociación EuroCloud España creada en 2010 con más de medio centenar de empresas asociadas. Entre sus objetivos: ayudar a las empresas a conseguir financiación y ayudas; construir una red de trabajo europea organizada en dos niveles, nacional y transnacional; generar plataformas nacionales de servicios de tecnología SaaS y cloud computing.

Cabe destacar las iniciativas de empresas tradicionales españolas hasta ahora habían ofrecido servicios de almacenamiento de documentos analógicos, como AdeA Ingeniería Documental contratando los servicios de proveedores de la nube, en este caso Gigas una empresa española. Con el nuevo modelo implantado por AdeA en colaboración con Gigas, se refuerzan las garantías de servicio y de protección de los datos a sus usuarios ya que el centro de datos dispone de doble acometida eléctrica redundante, Sistema de Alimentación Ininterrumpida (SAIs), baterías y grupos electrógenos redundantes que garantizan el suministro eléctrico en caso de fallo de las compañías eléctricas contratadas así como de sistemas de refrigeración para entornos de alta densidad que mantienen las salas que alojan los servidores en perfectas condiciones de temperatura y humedad; seguridad contra incendios mediante detectores de última generación y sistemas de extinción mediante gas para garantizar la integridad de los equipos y sus datos; y también un exhaustivo control del acceso a las instalaciones. El director de Adea, Jesús Pérez Narezo declaró que “Alrededor de los servicios que presta AdeA existen dos constantes. Una es la seguridad de la documentación que nos confían nuestros clientes. La otra, la accesibilidad por parte de éstos a la información en el momento que lo deseen. Con el traspaso de servidores al Cloud Datacenter de Gigas, reforzamos aun más si cabe la protección de datos, al tiempo que aseguramos un servicio, cien por cien fiable, ininterrumpido, 24 por 7, que reforzará la confianza de nuestros clientes y la garantía de acceso al documento necesario en cualquier momento y desde cualquier dispositivo”.

En la sede web de PAePortal Administración Electrónica, se incluyen las soluciones web en la nube que se ofrecen:

“Soluciones de administración electrónica, puestas a disposición de las Administraciones Públicas, para dar respuesta a necesidades comunes:

    • ORVE – Oficina de registro virtual

       

      Logo ORVEServicio en la nube ofrecido a las diferentes Administraciones Públicas que permite la digitalización, remisión y recepción de asientos registrales entre Administraciones mediante la interconexión con SIR.

       

       


  • Correo multidominio

    Logotipo correo multidominioPermite ofrecer a las diferentes AAPP el servicio de correo electrónico distinguiendo dominios por cada departamento u organismo adherido.

  • Plataforma de Contratación del Estado

    Logotipo Plataforma de Contratación del Estado.

    Permite la publicación de toda la información contractual en los perfiles del contratante, Boletín Oficial del Estado y Diario Oficial de la Unión Europea. Además ofrece servicios adicionales a empresas y órganos de contratación en el ámbito de la contratación pública.

  • FACe – Punto General de Entrada de Facturas Electrónicas de la AGE

    Logotipo FACEPermite la remisión de facturas en formato electrónico a aquellos organismos de las administraciones que acepten la recepción de facturas en formato electrónico y que estén previamente dados de alta en el sistema.

  • Gestión de Recursos Humanos

    Suite de productos relacionados con la Gestión de Recursos Humanos en la Administración General del Estado

  • Inscripción en pruebas selectivas

    Servicio en cloud por el cuál múltiples organismo pueden gestionar la inscripción por medios electrónicos a los procesos selectivos convocados por su departamento.

  • Acceda en Cloud

    Logotipo AccedaAcceda es una plataforma genérica para constituir una sede electrónica que permite implementar de forma rápida y sencilla, nuevos procedimientos administrativos electrónicamente, sin necesidad de un desarrollo particular para cada uno. Así mismo ofrece un completo backend para la tramitación de expedientes electrónicos.

  • G-INSIDE – Generador de inSiDe

    Logotipo in SiDePosibilita la validación y generación de documentos y expedientes electrónicos en base al ENI y la generación de documentos PDF para su visualización. Consiste en la puesta a disposición de una batería de servicios Web en la nube SARA, no proporciona almacenamiento.

  • Portafirmas de la red SARA en cloud

    Logotipo PortafirmasEl Portafirmas electrónico permite sustituir los trámites de firma tradicional en formato papel por un formato equivalente en firma electrónica. Para organismos y entidades que necesiten un portafirmas y no vean conveniente realizar su propio despliegue

  • ALMACEN – Envío y recepción de ficheros de gran tamaño

    Permite el envío de ficheros de gran volumen entre usuarios internos y externos a las Administraciones Públicas. Se presenta como solución a los tradicionales problemas de límite de capacidad en los buzones de correo o unidades compartidas. Servicio disponible a través del portal FUNCIONA

  • REC – Registro Electrónico Común

    Ofrece una vía de tramitación para todas aquellas solicitudes, escritos y comunicaciones realizadas por el ciudadano y dirigidas hacia la AGE, que no se ajusten a procedimientos administrativos ya contemplados en los registros electrónicos de las distintas Administraciones.

  • REÚNETE

    Logotipo ReúneteServicio de Reuniones Virtuales para las AA.PP (Videoconferencia Web, mensajería instantánea, retransmisión de Eventos, CAUs,…).

  • Forja CTT

     

    Logotipo FORJA CTTLa Forja-CTT es un entorno de desarrollo colaborativo para aplicaciones de las AAPP en el que pueden participar activamente administraciones, empresas y particulares.

     

     

  • RUN – Acortador de URLs

     

    Permite a las Administraciones usuarias generar direcciones cortas más fáciles de recordar del tipo http://run.gob.es/xxxx. Esto permite además reducir el número de caracteres empleados en sms, twitter o cualquier otro medio.

     

     

La red privada para las Administraciones Públicas Españolas es la Red SARA (Sistemas de Aplicaciones y Redes para las Administraciones), un  conjunto de infraestructuras de comunicaciones y servicios básicos que conecta las redes de las Administraciones Públicas Españolas e Instituciones Europeas facilitando el intercambio de información y el acceso a los servicios. Su implantación se establece como una obligación en el artículo 43 de la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y en el artículo 13 del Real Decreto 4/2010 que regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. La Red SARA permite a cualquier Unidad conectada proveer servicios o utilizar los que ponen a su disposición otras Unidades de las diferentes Administraciones Públicas Españolas o Europeas (44). Para la red sTESTA de la Comisión Europea, la red SARA es la “National Network” de España, con un punto único de acceso al Eurodomain. La Red Sara proporciona un entorno homogéneo de seguridad, con normas, medidas y procedimientos de seguridad, para dar garantía de autenticidad, confidencialidad, integridad y disponibilidad del sistema de información, en colaboración con el CCN-CERT para la detección y coordinación temprana de incidentes. La Red SARA permite que las administraciones compartan entre ellas todos los servicios que estimen necesarios. Los servicios comunes: verificación de los datos de identidad y residencia, plataforma de validación de firma electrónica (@Firma), solicitud de cambio de domicilio, pasarela de pago, registro electrónico común, consultas del estado de expedientes, catálogos de procedimientos de las AAPP, videoconferencia, voz IP, Centro de Transferencia de Tecnología y Servicios de nueva creación.

Cabe destacar también como ejemplo de red privada en España la redAbogacía en la que se ofrecen servicios a los abogados para realizar de forma telemática gestiones profesionales de forma rápida y eficaz con su carné AC: pases a prisión, burosms, buromail, prevención de blanqueo de capitales, Lexnet, CIP, oficina postal virtual, e-Mensajes, mi cuenta, red abogacía libros, abogado europeo.

 

7. Conclusiones

  • La computación en la nube va a suponer un gran negocio en estos próximos años
  • La Comisión Europea está promocionando el mercado único de la computación en la nube
  • El Reglamento de Protección de Datos Europeo, al ser más restrictivo que el de Estados Unidos, facilitará el que los clientes prioricen los servicios de los proveedores europeos en la nube
  • El desarrollo del modelo para el acuerdo de nivel de servicio SLA para los contratos entre los proveedores de cloud y sus clientes teniendo en cuenta el acervo de la Comunidad Europea incrementará la base de la confianza.
  • En los contratos con los proveedores de servicios en la nube se deberían contemplar cuestiones tales como la preservación de datos después de la terminación del contrato, la divulgación de datos e integridad, la ubicación de datos y transferencia, las  responsabilidades directas e indirectas, la propiedad de los datos, los cambios de servicio por parte de los proveedores de la nube y la subcontratación.
  • La Comisión Europea se ha comprometido a trabajar en el desarrollo de sistemas de certificación voluntaria de toda la UE en el área de computación en nube, clarificando la jungla de estándares.
  • Las empresas proveedoras de computación en la nube europeas se están uniendo para ofrecer servicios comunes a los ciudadanos europeos, para ello será necesario incrementar la portabilidad e interoperabilidad entre las plataformas.
  • Las empresas proveedoras de servicios de computación en la nube españolas tienden a asociarse para defender al sector.
  • Las autoridades públicas tienen un papel que desempeñar en la creación de un entorno de nube confianza en Europa, usando su fuerza de contratación pública para promover el desarrollo del cloud computing en Europa basado en tecnologías abiertas y plataformas seguras.
  • Las empresas y administraciones públicas pueden actuar como motores para que el negocio de computación en la nube se quede en España exigiendo que sus datos y documentos (así como sus copias) se almacenen en empresas que operen en nuestro país. Nuestra legislación de protección de datos es una de las más restrictivas del mundo.

 

Para saber más se recomiendan los siguientes eventos:

 

8. Bibliografía

(1) Abellán, Lucía; Tubella, Patricia; Gómez, Juan; Saiz, Eva; González, Miguel; Cembrero, Ignacio; Vicéns, Elena; Martín Bruselas, María. “La
onda expansiva desatada por Snowden. Las filtraciones del extrabajador de la NSA han sacudido en 2013 las relaciones diplomáticas de EE UU con sus
aliados
“. El País, 20 dic 2013 – 13:26 CET.

(2) “Cloud, una realidad con marca España“. Ponencia. Expocloud, 2014.

(3) Mell, Peter; Timothy Grance, Mell. “The NIST Definition of Cloud Computing”. Nist. National Institute of Standards and Tecnology. U.S. Department of Commerce, Special Publication 800-145, 2011.

(4) Aenor. AEN/CTN 71 – SC38 Servicios y plataformas para aplicaciones distribuidas. “UNE 71380 Tecnología de la información. Computación en la nube. Vocabulario y definiciones. ISO.

(5) Agencia Española de Protección de Datos: Consejo General de la Abogacía Española. “Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal“. AEPD.

(6) Verizon y Emc. “Your Path to Cloud. Essential consideratons for adopting cloud: a European Perspective”, 2013.

(7) Parfeni, Lucien.“Google Apps Banned in Sweden over Privacy Concerns”. Softpedia, June 14th, 2013, 12:32 GMT.

(8) European Commission.  “Cloud Standards Coordination. Final Report“. November 2013.

(9) ISO. ISO/IEC JTC 1/SC 38:

ISO/IEC DIS 19086-1

 

Information technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and concepts.  More details

ISO/IEC NP 19086-2

Information technology — Cloud computing — Service level agreement (SLA) framework — Part 2: Metrics.  More details

 

ISO/IEC CD 19086-3

Information technology — Cloud computing — Service level agreement (SLA) framework — Part 3: Core conformance requirements.  More details

 

ISO/IEC NP 19086-4

 

Information technology — Cloud computing — Service level agreement (SLA) framework and Technology — Part 4: Security and privacy.  More details

(10) España. Jefatura del Estado. “LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”. Boe, núm. 298, del 14 de diciembre de 1999.

(11) España. Ministerio de Justicia. “Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”. Boe, núm. 17, de 19 de enero de 2008, páginas 4103 a 4136 (34 págs.)

(12) Agencia Española de Protección de Datos. “Preguntas Cloud Computing”. Aepd.

(13) Agencia Española de Protección de Datos (AEPD). “Orientaciones
para prestadores de servicios de Cloud Computing
“, 2013.

(14) Moratalla, José Ramón. “15 Cautelas imprescindibles para el control y minoración de riesgos en la contratación de servicios y soluciones de Cloud Computing”. El Derecho, 13.03.14.

(15) Unión Europea. “Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ” (Reglamento general de protección de datos). Bruselas, 25.1.2012 COM(2012) 11 final 2012/0011 (COD).

(16) Consejo Europeo. “Reforma de la protección de datos en la UE: el Consejo confirma el acuerdo con el Parlamento Europeo“. 18.12.2015

(17) “European Businesses to Abandon US Cloud and Internet Providers?“. In Serbia, Published On: Thu, Jul 4th, 2013 (fuente The Guardian).

(18) United States. Department of Justice. “Usa Patriot Act”.

(19) Gaouette, Nicole (Bloomber). “35.000 millones, daño del espionaje al sector tecnológico de EE UU”. El País, 26 de noviembre de 2013.

(20) Gaouette, Nicole (Bloomberg). “35.000 millones, daño del espionaje al sector tecnológico de EE UU“. El País, Nueva York 26 NOV 2013 – 09:01 CET.

(21) Birnbaum, Michael, “Germany looks at keeping its Internet, e-mail traffic inside its borders”. The Washington Post, Published: November 1, 2013.

(22) European Commission. “What does the Commission mean by secure Cloud computing services in Europe?”. Brussels, 15 MEMO/13/898 15/10/2013.

(23) Peregil, Francisco. “Sudamérica se planta ante el espionaje de Estados Unidos Brasil, Argentina, Uruguay y Venezuela llaman a consultas a sus embajadores en Madrid, París, Roma y Lisboa”. El País, 12 jul 2013 – 23:03 CET.

(24) Greenwald, Glenn; Kaz e José Casado, Roberto. “Espionagem
dos EUA se espalhou pela América Latina: Depois do Brasil, Colômbia
foi o país mais vigiado; Venezuela também entrou na mira de programas
americanos”
. O Globo, 07/13 – 0h05 Atualizado: 12/07/13 – 19h35.

(25) Reuters. “La UE y Brasil evitarán a EEUU en sus comunicaciones con un nuevo cable transoceánico”. El Público, 24/02/2014 19:00 Actualizado: 24/02/2014 19:19.

(26) Martín, Javier. “Buscando un guardián para la nube”. El País, 14 de noviembre de 2013.

(27) Digital Agenda for Europe. “European Cloud Computing Strategy”.

(28) Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. “Unleashing the Potential of Cloud Computing in Europe”. Brussels, 27.9.2012 COM(2012) 529 final.

(29) European Telecommunications Standards Institute, ETSI. “Cloud
Standards Coordination. Final Report. Version 1.0”
. November 2013.

(30) European Telecommunications Standards Institute, ETSI. “List
of Standars Specifications – Cloud Computing – Etsi
” (tabla Excel). 2013.

(31) Enisa. “Cloud Computing Certification Schemes List – CCSL”

(32) Enisa. “Cloud Computing Security Risk Assessment“.

(34) Enisa. “Security and Resilience in Governmental Clouds”.

(35) “Informe Cloud Computing ENISA-INTECO”. Inteco, 29-03-2011.

(36) Enisa. “Security and Resilience in Governmental Clouds”, 2011.

(37) Inteco. “Riesgos y amenazas en cloud computing”. 2011.

(38) Enisa. “Cloud Computing”.

(39) European Commission. Digital Agenda for Europa. “Single Market Pillar”.

(40) European Commission. “The Single Market Act”.

(41) NIST. “Cloud Computing“.

(42) Comisión Europea. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a una normativa
común de compraventa europea”
, Bruselas, 11.10.2011, COM(2011) 635 final, 2011/0284 (COD). (SEC(2011) 1165 final}- {SEC(2011) 1166 final}.

(43) European Commission. Justice. “Article 29 Working Party“.

(44) European Commission. “European Cloud Partnership (ECP)”.

(45) Contrail Consortium. “Contrail. Open Open Computing Infrastructures for Elastic Services”.

(46) Jacob, Marc. “Contrail Accelerates Cloud Adoption Across Europe”. Global Security Mag, January 2014.

(47) “Suiza aspira a convertirse en la caja fuerte digital del mundo”, Rfi, lunes 16 Diciembre 2013.

(48) “The Internet of Applications & Services. Trusted Cloud”. Germay Trade & Invest.

(49) Osborne, Charlie. “SFR, Bull form Numergy cloud venture”. ZDnet, September 5, 2012 -15:45 GMT (08:45 PDT).

(50) “Red.es prevé una inversión de 100 millones de euros en Andalucía durante los próximos dos años en el ámbito TIC“. Red.es, 04/02/2014.

(51) Gobierno de España. “Agenda Digital. Planes específicos de la Agenda Digital para España“, junio 2013.

(52) “El 60 % de las empresas españolas ya han tenido alguna experiencia con las tecnologías cloud”. Red.es, 12/03/2014.

(53) “El primer Centro Demostrador dedicado a promover las TIC y los servicios en la nube para PYMES y emprendedores se inaugura en Sevilla”. Red.es, 01/07/2011.

(54) Agencia Española de Protección de Datos. “GUÍA para clientes que contraten servicios de Cloud Computing“. 2013.

(55) Incibe. “Riesgos y amenazas en Cloud Computing“. Marzo 2011.

(56) “Ayudas adopción cloud. Red.es”. “Concesión de ayudas del programa de fomento de la demanda de soluciones de computación en la nube para pequeñas y medianas empresas”. Red.es.

 

Etiquetas: , , , , , , , , , , , , , , , , , , , , , ,

Categorías: Cloud computing, General

Comments (1)

Trackback URL | Comments RSS Feed

  1. […] Dña. María del Valle Palma Villalón Miembro del Subcomité (SC)1 “Gestión de Documentos y aplicaciones” del Comité 50 de Documentación y del Subcomité  […]